Ivanti VPN Zafiyetleri: Hızla Yayılan Saldırılar!

Ivanti VPN cihazlarındaki güvenlik açıkları, uzaktan, yetkilisiz saldırganların hedef cihazları ele geçirmesine, keyfi komutları çalıştırmasına, iç ağlara sızmalarına ve hassas verileri çalmalarına olanak tanıyor.

Tehtit istihbarat firması Volexity, Aralık 2023’ün ikinci haftasında keşfedilen iki Ivanti zero-day güvenlik açığını kullanarak gerçekleştirilen saldırılarda bir artış tespit etti.

Volexity’ye göre, Ivanti Connect Secure VPN cihazlarını kullanan en az 20 kuruluş, CVE-2023-46805 ve CVE-2024-21887 adlı Ivanti zero-day açıklarını kullanarak gerçekleştirilen siber saldırılarda komprome edildi. Volexity, keşfettiği sayının, ‘orta derecede güvenilir’ bir şekilde, kompromize edilen sistem sayısının muhtemelen daha yüksek olduğunu doğruladı.

Volexity araştırmacıları tarafından keşfedilen açıklar, Ivanti Connect Secure VPN ve Policy Secure NAS cihazlarını etkiledi ve Avanti tarafından geçen hafta açıklandı.

10 Ocak’ta Volexity, Çin ile ilişkilendirilen iddia edilen UTA0178 grubunun, bu açıkları kullanarak iç ağlara erişim kazandığını ve bilgi çaldığını belirtti. 11 Ocak’ta şirket, Ivanti VPN cihazlarına yönelik hedefli saldırıları gözlemledi ve bu açıkların yaygın bir şekilde sömürüldüğünü tespit etti.

Bilgilendirme amaçlı belirtmek gerekirse, CVE-2023-46805, Ivanti ICS 9.x, 22.x ve Ivanti Policy Secure’ı etkileyen CVSS puanı 8.2’ye sahip bir kimlik doğrulama açığıdır. İkinci açık, CVE-2024-21887, Ivanti Connect Secure 9.x, 22.x ve Ivanti Policy Secure’ı etkileyen CVSS puanı 9.1’e sahip bir komut enjeksiyon zafiyetidir.

Söz konusu açıklar, uzaktan yetkilisiz saldırganların hedef cihazları ele geçirmesine, keyfi komutları çalıştırmasına, iç ağlara sızmalarına ve hassas verileri çalmalarına olanak tanır.

Volexity, Aralık 2023’te bilinmeyen bir APT grubunun ICS VPN cihazlarına ilk saldırıları başlattığını ve casusluk amacıyla kötü amaçlı yazılım araç setlerini indirdiğini belirtti. O zamandan beri, birçok tehdit aktörü, GIFTEDVISITOR web kabuğu varyantını kullanarak yüzlerce cihaza saldırdı ve hedeflerin sistemlerine arka kapı ekledi.

14 Ocak 2023 tarihi itibariyle, 50.000 Ivanti VPN bağlantılı IP’yi taradıktan sonra araştırmacılar, 1.700’den fazla ICS VPN cihazının komprome edildiğini ortaya koydu. Kurbanların en yüksek yüzdesi, ABD ve Avrupa’da, hükümet, askeri, telekom, savunma, teknoloji, bankacılık, finans, muhasebe, havacılık ve mühendislik sektörlerindeki küçük ölçekli işletmelerden Fortune 500 şirketlere kadar etkilendi.

Mandiant ayrıca, geçen ay bu açıkları kullanarak UNC5221 adlı şüpheli devlet destekli bir tehdit aktörünün, beşe kadar özel kötü amaçlı yazılım ailesi dağıttığını gözlemledi. Bunlar arasında ZIPLINE arka kapısı, WARPWIRE kimlik avcısı, THINSPOOL kabuk betiği bırakan ve LIGHTWIRE web kabuğu bulunmaktadır.

Mandiant’ın raporunda belirtildiği gibi, UNC5221 tehdit aktörleri, ‘bir yama kaçınılmaz olarak yayımlandıktan sonra’ ele geçirdikleri ‘yüksek öncelikli hedeflerde kalıcılığı sürdürmek’ amacıyla ‘fırsatçı saldırılar’ başlattı.

Ivanti, bu açıkları düzeltmek için 22 Ocak 2024’te yamaları yayınlamayı planlıyor ve nihai yamaların 19 Şubat 2024’te bekleniyor. Yamalar çıkana kadar istismarı önlemek için bir çalışma çözümü bulunmaktadır. Hassas ürünleri kullanan kuruluşlar, yamalar yayınlanana kadar bu çözümü uygulamalıdır.